01

鱼目混珠：利用合法签名重打包样本程序

伪装成第三方应用安装包的母体程序，具备合法的签名，其中还包括国外厂商的合法签名。解压后除了正常的安装软件，还包括与母体程序签名一致的可执行程序。

用户安装母体程序的过程中，看似在安装合法软件，其实后台也同步运行对应可执行程序。该可执行程序不仅具备合法签名，且执行代码中并不包含任何恶意特征，执行动作也不包括恶意行为，只是简单的释放、收集信息和执行进程操作，真正的恶意动作在后续操作中进行，详见下文【手法二】。

手法总结 …

重打包安装包，并使用国外厂商合法签名，有效降低杀软查杀率。执行后释放真正安装程序实现正常安装掩人耳目，后台执行真正恶意代码以实现远控能力。

02

金蝉脱壳：加密dll释放恶意文件并内存执行

伪装成第三方应用程序的母体程序，后台运行的进程会释放一个不包含恶意代码的可执行程序和部分加密的dll文件，这些文件被释放在Public目录下。

以本截图为例，后台运行进程会执行95LEw.exe，并自动加载liteav.dll文件。恶意进程会将liteav.dll中加密部分数据段在内存中解密，以此获得一个新的dll文件，然后通过自解析的方式，将这个新dll文件“反射加载”到内存中执行。

手法总结 …

释放加密的dll有效绕过了杀软检测，然后通过内存动态加载并执行解密后的dll，避免杀软的主防和大部分的EDR产品。

以本次的一个变种为例，我们简化了执行过程以帮助大家更好了解其攻击过程（请特别注意，为简化理解，该图并非真正的执行进程链。

在本次攻击行为中，恶意样本除了连接远控等待接收攻击者指令外，还会采集用户终端上的各种信息：操作系统版本号、CPU型号、QQ号、杀软信息、本地网络连接情况以及远程桌面端口等。此外，微步还发现其会进行更多操作：如恶意程序会删除用户电脑中浏览器保存的凭证, 强制用户在使用浏览器访问网站时重新输入账密, 以通过键盘记录功能获取用户账密等信息。因此，提醒中招的用户，在清理银狐后门后，要及时调整重要系统的用户名密码。